Киберпреступники APT36 имитируют индийское Министерство обороны в новой атаке на Windows и Linux

Как работает атака?

• Фальшивый сайт с "пресс-релизами"
  • Жертва попадает на копию официального портала Министерства обороны Индии через домен email.gov.in.drdosurvey[.]info.
  • Страница выглядит как архив пресс-релизов, но только один документ (за март 2025 года) является активным — остальные помечены как «No Data».
• Социальная инженерия под разные ОС
  • При нажатии на ссылку система определяет ОС жертвы и перенаправляет её:
    • Windows: показывается поддельное предупреждение «For Official Use Only» (FOUO), после чего в буфер обмена копируется команда для запуска вредоносного HTA-файла через mshta.exe.
    • Linux: пользователю предлагают пройти «капчу» (с ошибкой «I’m not a rebot»), а затем дают инструкции по вставке команды в терминал, которая загружает скрипт mapeal.sh.
• Вредоносная нагрузка
• Для Windows используется файл sysinte.hta с обфусцированным JavaScript, который связывается с C2-сервером (185.117.90[.]212).
• Linux-версия пока не демонстрирует явно вредоносного поведения, но может находиться в стадии доработки.

Кто стоит за атакой?

Исследователи связывают кампанию с APT36 (Transparent Tribe) — группировкой, предположительно связанной с Пакистаном. В пользу этого говорят:

• Использование тем, связанных с индийскими госструктурами.
• Применение .NET-загрузчиков и HTA-файлов — фирменных методов APT36.
• Опечатки в интерфейсе (например, «rebot» вместо «robot»), которые ранее встречались в атаках этой группы.

Атака демонстрирует, что даже простые методы социальной инженерии остаются эффективными, особенно при использовании доверия к государственным ресурсам.

IPv4

• 185.117.90.212
• 192.64.118.76

Domains

• email.gov.in.avtzyu.store
• email.gov.in.drdosurvey.info

SHA256

• 7087e5f768acaad83550e6b1b9696477089d2797e8f6e3f9a9d69c77177d030e